TR/Dldr.Crusher - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Dldr.Crusher
Scoperto:	13/09/2007
Tipo:	Trojan
Sottotipo:	Downloader
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	20.755 Byte
Somma di controllo MD5:	4e7b455616110B49650D6017a8ebe961
Versione IVDF:	6.39.01.124

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP

Effetti secondari:
   • Scarica file
   • Clona un file “maligno”
   • Sottrae informazioni

File Si copia alla seguente posizione:
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\System6.jup

Cancella la copia di se stesso eseguita inizialmente.

Viene creato il seguente file:

– %PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\System6.ins Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

Prova a scaricare dei file:

– La posizione è la seguente:
   • http://www.lcve.cn/ma/**********
Viene salvato in locale sotto: %TEMPDIR%\cj.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.NSPI.Gen

– La posizione è la seguente:
   • http://www.lcve.cn/ma/**********
Viene salvato in locale sotto: %TEMPDIR%\ms.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://www.lcve.cn/ma/**********
Viene salvato in locale sotto: %TEMPDIR%\zx.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.22016.B

– La posizione è la seguente:
   • http://www.lcve.cn/ma/**********
Viene salvato in locale sotto: %TEMPDIR%\wl.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://www.lcve.cn/ma/**********
Viene salvato in locale sotto: %TEMPDIR%\js.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.FKM.Gen

Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\CLSID\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}]
   • @=""

– [HKCR\CLSID\{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}\InProcServer32]
   • @="%PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\System6.ins"
   • "ThreadingModel"="Apartment"

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: %PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\System6.ins

Nome del processo:
• explorer.exe

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Gabriel Mustata il Wed, 12 Sep 2007 14:11 (GMT+1)
Descrizione aggiornata da Gabriel Mustata il Mon, 17 Sep 2007 08:30 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro